Anlässlich der Entscheidung des Bundesverfassungsgerichts zur „Online-Durchsuchung“ in NRW am 27.2.2008, habe ich kurz ein paar Worte zum Thema bei n-tv in die Kamera gesprochen. Weiterlesen…
Schlagwort: Computer Forensik
Vista Forensics @ Cebit 2008
Auch in diesem Jahr werde ich ein paar Vorträge auf der Cebit in Hannover halten. Diesmal werde ich mich voll und ganz dem Thema „Windows Vista Forensik“ widmen. Hier die Termine: Weiterlesen…
Suspend-to-Disk Forensics II
Das hier angekündigte S
andMan Framework für die Analyse von hiberfil.sys-Dateien ist nun fertig gestellt. Diese Dateien werden unter Windows beim Übergang in den Ruhezustand erstellt und enthalten Hauptspeicherdaten. Weiterlesen…
X-Ways Forensics Update: 14.8
Das Upodate auf X-Ways Forensics 14.8 wartet wieder mit vielen neuen Dignen auf. Ein Schwerpunkt liegt u.a. bei der Analyse von Videodateien. Weiterlesen…
Die etwas andere Art der RAM-Analyse [Update]
Forscher aus Princeton haben eine Möglichkeit gefunden (und diese ausnahmsweise auch praktisch bewiesen), den Inhalt der physikalischen RAM-Bausteine länger, als nur ein paar Sekunden nach dem Ausschalten auszulesen. Es ist ja allgemein bekannt, dass der RAM-Inhalt nach dem Ausschalten nicht sofort verschwunden ist, Weiterlesen…
Miss Identify
Jesse Kornblum (Autor von ssdeep und md5deep) hat eine neues hilfreiches Forensik-Werkzeug veröffentlicht. Mit Miss Identify kann ein Ermittler in einem gemounteten Image schnell und einfach ausführbare Dateien anhand der PE-Header identifzieren. Weiterlesen…
AccessData Forensic Toolkit 2.0 erschienen
Lange wurde darüber spekuliert und sehr oft der Erscheinungstermin verschoben, nun soll es soweit sein: AcessData ForensicToolkit ist gestern in der Version 2.0 erschienen. Mit der neuen Version soll die Arbeit an großen Images leichter von der Hand gehen, da eine Oracle-Datenbank Weiterlesen…
X-Ways Forensics: Update 14.7
Version 14.7 von X-Ways Forensics wartet wieder mit einer umfangreichen Liste von Verbesserungen und Fehlerkorrekturen auf: Weiterlesen…
Suspend-to-Disk Forensics
Ein bisher noch nicht angegangenes Problem bei der forensischen Ermittlung von Windows-Systemen scheint nun der Lösung nahe. Andreas Schuster berichtet, dass Matthieu Suiche auf der Japan PACSEC 2007 Inhalt und Struktur der Datei hiberfil.sys und ein entsprechendes Analysetool präsentierte. Die Datei hiberfil.sys wird im Wurzelverzeichnis des Systemlaufwerkwerks erstellt, wenn der Ruhezustand (Suspend to Disk) eines Windows-Systems aktiviert wird. Weiterlesen…
Mein geschätzter Kollege Sebastian Krause hat in der aktuellen Ausgabe 01/2008 der Zeitschrift iX den